Documente Academic
Documente Profesional
Documente Cultură
Presentaciones
Nombre Qu hace hoy en da Qu entiende de los Riesgos de TI y cmo deben gestionarse?
Introduccin
La necesidad de la Gestin de Riesgos en la Tecnologa de Informacin
Escndalos financieros
Enron Worldcom Parmalat Laboratorio Merk Bernard Madoff Jerome Kerviel Yasuo Hamanaka Nick Leeson Liu Qibing John Rusnak Peter Young
Auditores
Gestores de Riesgos
Medir y gestionar preventivamente el riesgo en TI
Gerentes de TI
Riesgos en TI
Autoevaluaciones de riesgo
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010
Seccin 1
El uso de la Gestin de Riesgos de TI desde la perspectiva del Gerente de Sistemas
Generalidades
No slo basta hacer un excelente trabajo al frente del departamento de TI
Ordenado Eficiente Con mejores prcticas
El Buen Gobierno en TI
Cobit 4.1, promovido por ISACA El gobierno de TI integra e institucionaliza las buenas prcticas para garantizar que TI en la empresa soporta los objetivos del negocio. El gobierno de TI facilita que la empresa aproveche al mximo su informacin, maximizando as los beneficios, capitalizando las oportunidades y ganando ventajas competitivas.
Fuente: ISACA
10
13
14
Referencias y lecturas
COBIT v4.1 (Objetivos de Control de TI) ISO/IEC 38500 (Buen gobierno de TI) Val IT (Buen gobierno de las inversiones en TI)
16
Seccin 2
El uso de la Gestin de Riesgos de TI desde la perspectiva de la Seguridad de la Informacin
Seguridad de la Informacin
Objetivos
Proteger la informacin de la organizacin ante hechos que la pongan en riesgo La informacin adopta varias formas
En papel En medios electrnicos Transmitida por correo Mostrada en videos Hablada
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 18
Seguridad de la Informacin
Aspectos a evaluar a nivel de informacin electrnica
Confidencialidad Integridad Disponibilidad Control de acceso Autenticacin Irrefutabilidad
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 19
Seguridad de la Informacin
Confidencialidad
Se refiere al hecho de que slo tienen acceso a la informacin de la red o que circulan por ella las personas autorizadas. Nadie puede acceder a la informacin sin haber sido autorizado. La identificacin de los usuarios exige autenticacin. Para mantener la informacin protegida de las personas ajenas a ella, es necesaria la encriptacin, que se lleva a cabo con medios tcnicos.
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 20
Seguridad de la Informacin
Integridad
se refiere al hecho de que los mtodos que gestionan la informacin garantizan un tratamiento sin errores de la misma. La informacin no debe cambiar mientras se est transfiriendo o almacenando Nadie puede modificar el contenido de la informacin o los archivos y an menos eliminarlos. La combinacin de autenticacin e integridad garantiza que la informacin enviada llega a su destinatario exactamente en la misma forma en que se envi
21
Seguridad de la Informacin
Disponibilidad
Se refiere al hecho de que los usuarios que necesitan la informacin y a quienes va dirigida dicha informacin siempre tienen acceso a ella. Los mtodos para garantizar la disponibilidad incluyen un control fsico y tcnico de las funciones de los sistemas de datos, as como la proteccin de los archivos, su correcto almacenamiento y la realizacin de copias de seguridad.
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 22
Seguridad de la Informacin
Control de acceso
Se refiere al hecho de que se restringe y se controla el acceso de los usuarios a la informacin de un computador. El control del acceso verifica si el usuario tiene derecho a acceder al servicio y la informacin, lo que significa que slo las personas autenticadas pueden obtener acceso. Parte del control del acceso consiste en hacer un seguimiento de los usuarios. El sistema anota en un registro las acciones realizadas por los usuarios en el sistema. El administrador del sistema tiene acceso a los registros y, en su caso, puede utilizarlos para encontrar incumplimientos intencionados o no intencionados de la seguridad de la informacin.
23
Seguridad de la Informacin
Autenticacin
Se utiliza para asegurarse de que las partes involucradas son quienes dicen ser Por ejemplo, en el comercio electrnico, al hacer trmites con las autoridades o en la comunicacin entre personas, es especialmente importante saber quin es la otra parte. Es necesario autenticar tanto el origen de las partes como la fuente de informacin.
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 24
Seguridad de la Informacin
Irrefutabilidad
Se refiere al hecho de que el remitente de la informacin no puede negar que la ha enviado y que forma parte de algn tipo de accin. Es una forma estricta de autenticacin y se lleva a cabo mediante una firma electrnica. Es un requisito previo indispensable para la realizacin de muchas acciones y servicios, como compras electrnicas a travs de redes de datos.
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 25
Seguridad de la Informacin
Aplicacin del Anlisis de Riesgo
Identificar amenazas y eventos que afecten la Seguridad de la Informacin Identificar las medidas de control o seguridad ya existentes Evaluar probabilidad e impacto, calcular el riesgo Proponer nuevas medidas de control o mejoras a las existentes usando estndares / normativas / mejores prcticas
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 26
Referencias y lecturas
ISO 17999:2005 / hoy ISO 27002
Fue publicado por primera vez el 2000, Se basa en el BS-7799 Brinda un conjunto de controles aplicables
ISO 27005:2008
No todos son aplicables a todos los negocios Aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos
27
Seccin 3
El uso de la Gestin de Riesgos de TI desde la perspectiva de la Administracin de Riesgos Operativos
Riesgos operativos en TI
Objetivos
Garantizar razonablemente una operacin confiable de los procesos de un departamento de TI Es importante conocer los procesos dentro del rea de TI
Estrategia del Servicio Diseo del Servicio Transicin del Servicio Operacin del Servicio Mejora continua del Servicio
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 29
Riesgos operativos en TI
Estrategia del Servicio
Facilita la base sobre la que crear una funcin de gestin del servicio eficaz Garantiza la entrega del mximo valor a los clientes del negocio consiguiendo lo mejor de ambas partes. Procesos:
Planear la estrategia y valor de la gestin del servicio dado por TI Enlazar los necesidades del negocio con TI Planeamiento e implementacin de la estrategia del servicio dado por TI
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 30
Riesgos operativos en TI
Diseo del Servicio
Un diseo eficaz contribuye a la entrega de servicios ofrecidos por TI con una calidad que cumpla o supere las expectativas del cliente. Procesos:
Disear el servicio: objetivos y partes Modelo para disear el servicio Modelos de costos y anlisis de beneficio y riesgos Implementacin del Diseo del Servicio Monitoreo y control
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 31
Riesgos operativos en TI
Transicin del Servicio
Identificar los procesos involucrados en la Transicin del Servicio a un nuevo entorno de produccin. Deben proporcionarse nuevos o modificados con el equilibrio adecuado entre rapidez, costo y seguridad mientras se garantiza que se generen las mnimas molestias para las operaciones. Proporciona y respalda la provisin rutinaria de los requisitos de la organizacin desde TI. Tambin proporciona una gua sobre la gestin de los mltiples aspectos de los cambios del servicio, y como evitar consecuencias indeseadas mientras se innova.
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 32
Riesgos operativos en TI
Operacin del Servicio
Actividades de entrega de control que ofrecen soporte a una operacin del servicio de alta calidad Procesos:
Gestin de aplicaciones Gestin de cambios Gestin de operaciones Control de procesos y funciones Prcticas escalables Monitoreo y control
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 33
Riesgos operacionales en TI
Fuente: Tecnofor
34
Riesgos operativos en TI
Metodologa
Identificar los procesos de TI
Propios del rea / Segn ITIL
Identificar actividades de cada proceso Identificar objetivos de dichas actividades Identificar riesgos que pongan en peligro el cumplimiento de los objetivos Identificar controles existentes Evaluar probabilidad e impacto, calcular el riesgo Establecer mejora en los controles
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 35
Referencias y lecturas
ITIL V3.0
Brinda libreras de procesos a ser implementados a nivel de TI
COBIT 4.1
Brinda un conjunto de controles aplicables
36
Seccin 4
El uso de la Gestin de Riesgos de TI desde la perspectiva de Continuidad del Negocio
Evaluar el riesgo de que el Centro de Cmputo se afecte Identificar urgencias de recuperacin de los servicios provistos por TI segn las prioridades de recuperacin del negocio Implementacin del Centro de Cmputo Alterno Efectuar pruebas permanente Mantener actualizado el DRP
38
41
Referencias y lecturas
BSI25999
Estndar britnico que da mejores prcticas sobre Continuidad del Negocio Certifica en Continuidad del Negocio 10 prcticas profesionales en el tema
Seccin 5
El uso de la Gestin de Riesgos de TI desde la perspectiva de la Auditora de Sistemas
Auditora de Sistemas
Objetivos
Medir objetivamente el grado de cumplimiento de:
La adecuada organizacin y Administracin de la Gerencia TI El adecuado procesamiento de los sistemas de informacin La integridad de la informacin generada y almacenada por los sistemas de informacin El adecuado uso de las comunicaciones Los niveles apropiados de seguridad lgica y fsica El adecuado desarrollo y mantenimiento de aplicaciones
47
Auditora de Sistemas
Plan de Seguridad y Riesgo
Plan de Contingencias
Controles de Accesos
Auditora
Segregacin de Funciones
Aplicaciones de Sistemas
48
Auditora de Sistemas
Plan de Seguridad y Riesgos
Verificar si por lo menos anualmente se efecta una evaluacin de riesgos Establecer una estructura administrativa de seguridad y definir claramente sus deberes y responsabilidades Mantener unas normas efectivas de seguridad y de conocimiento de todos Monitoreo efectivo al Plan de Seguridad Adiestrar al personal
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 49
Auditora de Sistemas
Controles de Accesos
Fsicos
Centro de Cmputo Facilidades del sistema de enfriamiento Terminales o consolas del computador principal Microcomputadoras reas de almacenamiento de archivos computadorizados Equipos y reas de las telecomunicaciones
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 50
Auditora de Sistemas
Controles de Accesos
Lgicos
Identificar cada usuario o computadora que est autorizada a accesar la red, datos o recursos Restringir el acceso para datos y recursos especficos de acuerdo a sus deberes y responsabilidades Producir y analizar logs del sistema y actividades de los usuarios para identificar accesos inadecuados Validar la existencia de procedimientos en sitio contra intrusos o hackers
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 51
Auditora de Sistemas
Desarrollo de Aplicaciones y Cambios a los programas
Revisar los controles de procesamiento y las modificaciones de programas estn debidamente autorizadas Validar que se revisan y se aprueba toda aplicacin nueva Validar que se controla la librera de aplicaciones
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 52
Auditora de Sistemas
Aplicaciones de Sistemas
Revisar el acceso limitado a las aplicaciones Revisar la existencia de normas, procedimientos y tcnicas para monitorear el uso de las aplicaciones Validar que los cambios son autorizados, probados y aprobados antes de ser implementados Validar que las instalaciones de las aplicaciones son documentadas y revisadas
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 53
Auditora de Sistemas
Segregacin de Funciones
Deben ser identificadas las tareas incompatibles y las normas implementadas para segregar estas tareas Debe estar bien documentada la descripcin de deberes de cada uno de los puestos Validar la existencia de controles de acceso que obliguen una segregacin de deberes adecuada Controlar las actividades del personal a travs de procedimientos formales de operacin, supervisin y revisin
54
Auditora de Sistemas
Plan de Contingencias
Evaluar las operaciones computadorizadas crticas y sensitivas e identificar los recursos de apoyo Establecer los pasos para prevenir y minimizar los daos potenciales e interrupciones Desarrollar y documentar un Plan de Contingencias adecuado Peridicamente se prueba y se actualiza el Plan de Contingencias
55
Auditora de Sistemas
Metodologa
Planificacin
Considerar un anlisis de riesgo para identificar posibles vulnerabilidades Se puede utilizar COBIT
Competencia profesional Debido cuidado profesional Trabajo de Campo Documentacin y evidencia Presentacin de hallazgos y resultados
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 56
Seccin 6
Generalidades
Riesgos a los que estamos expuestos
Por qu estamos expuestos? Qu probabilidad existe? Qu impacto existe?
58
Qu es un riesgo?
Proviene del latn risicare que significa atreverse Est relacionado con la posibilidad de que ocurra un evento que se traduzca en prdidas El riesgo es producto de la incertidumbre que existe de algo a futuro que puede o no ocurrir ante lo cual debo estar protegido
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 59
Terminologa de Riesgos
Evento de Riesgo (ocurrencia de una amenaza a futuro) Nivel de Riesgo + Efectividad del Control = Vulnerabilidad (Riesgo residual)
60
Evento de Riesgo
Ocasionado por una amenaza que ocasione una posible afectacin Es un evento futuro, no ha ocurrido an Ejemplo: Falla del centro de cmputo debido a un apagn
Amenaza: Apagn Evento: Falla en los equipos del CC
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 61
Probabilidad
Mide el nivel de certeza de que a futuro ocurra o vuelva a ocurrir el evento Puede ser una percepcin
Alta / Media / Baja
Impacto
Mide el nivel de afectacin en el bien / servicio / proceso en caso el evento ocurra Puede ser una percepcin
Alta / Media / Baja
63
Riesgo
Es el nivel de exposicin que existe en el momento de la evaluacin Combina la probabilidad y el impacto Puede ser medido cualitativamente
Percepcin
64
Control
Es una medida que existe o se planea implementar Minimiza el nivel de riesgo
Orientado a minimizar la probabilidad Orientado a minimizar el impacto
Pueden ser
Procedimientos Dispositivos
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 65
Compartir
Transferir el riesgo con un tercero
Reducir
Implementar controles o mejorarlos
Aceptar
No hacer nada
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 67
Tipos de controles
Por su nivel de automatizacin
Manuales Automticos
68
Ejercicio grupal
Dar no menos de 10 ejemplos de:
Evento Probabilidad, Impacto, Riesgo Controles manuales y automticos Controles preventivos y detectivos Evitar el riesgo Compartir el riesgo Reducir el riesgo Aceptar el riesgo
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 69
Seccin 7
Anlisis de Riesgos
Generalidades
Como mido el riesgo si todava no pasa nada Dar ejemplos cualitativos
Cmo evitar la subjetividad?
71
Cuantitativamente
US$20,000 al ao
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 72
Ejemplo de Probabilidad
73
Ejemplo de Impacto
74
75
3,15
RR-IP
RR-P
RRD
77
78
Riesgo Cuantitativo
Basndose en observaciones histricas se modela la distribucin de las prdidas que ha tenido la organizacin Debe ajustarse la curva de distribucin de probabilidades mas adecuada al valor de las perdidas histricas
Distribucin Normal / Distribucin Lognormal / Distribucin Exponencial / Distribucin Weibull / Distribucin Gamma / Distribucin Beta / Distribucin Emprica
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 79
Riesgo Cuantitativo
Fuente: Universidad Nacional de Colombia
80
Riesgo Cuantitativo
81
Seccin 8
COSO ERM El modelo para Gestionar Riesgos
Historia
El nombre de COSO proviene del Committee of Sponsoring Organizations of the Treadway Commission En 1992, public un informe denominado Internal Control Integrated Framework (IC-IF), conocido tambin como COSO I Adoptado por el sector pblico y privado en USA, por el Banco Mundial y el BID, y se extiende rpidamente por todo Latino Amrica
83
Historia
Debido al aumento de preocupacin por la administracin de riesgos, The Committee of Sponsoring Organisations of the Treadway Commission determin la necesidad de la existencia de un marco reconocido de administracin integral de riesgos El proyecto se inici en enero de 2001 con el objeto de desarrollar un marco global para evaluar y mejorar el proceso de administracin de riesgo, reconociendo que muchas organizaciones estn comprometidas en algunos aspectos de la administracin de riesgos
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 84
Historia
En septiembre de 2004, se publica el informe denominado Enterprise Risk Management Integrated Framework, el cual incluye el marco global para la administracin integral de riesgos
85
87
88
Qu es ERM
Proceso continuo es un medio para un fin, no un fin en si mismo Aplicado en toda la organizacin en cada nivel y unidad Diseado para identificar eventos potenciales y gestionar riesgos dentro del apetito al riesgo Provee seguridad razonablelogro de los objetivos estratgicos, operacionales, presentacin de reporte y cumplimiento
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 89
90
Seccin 9
COBIT 4.1
Acerca de ISACA
Fundada en 1969, con presencia en160 pases, desarrolla estndares internacionales de auditora y control de sistemas de informacin Provee certificaciones como
Certified Information Systems Auditor (Auditor Certificado en Sistemas de Informacin) (CISA), Certified Information Security Manager (Gerente Certificado de Seguridad de la Informacin) (CISM), Certified in the Governance of Enterprise IT (Certificado en Gobierno de Tecnologas de la Informacin Empresarial) (CGEIT) Certified Risk and Information Systems Control (Certificado en Riesgo y Control de Sistemas de Informacin) (CRISC).
92
COBIT 4.1
COBIT se enfoca en qu se requiere para lograr una administracin y un control adecuado de TI, y se posiciona en un nivel alto. COBIT ha sido alineado y armonizado con otros estndares y mejores prcticas ms detallados de TI COBIT acta como un integrador de todos estos materiales gua, resumiendo los objetivos clave bajo un mismo marco de trabajo integral que tambin se alinea con los requerimientos de gobierno y de negocios
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 93
Fuente: ISACA
94
Fuente: ISACA
95
Fuente: ISACA
96
Modelo COBIT
97
Referencias y Lecturas
COBIT 4.1 en espaol http://www.isaca.org/KnowledgeCenter/cobit/Documents/cobiT4.1spa nish.pdf
98
Seccin 10
Val IT
Val IT
El nivel de inversin en TI es significativo y sigue aumentando y ya no se focaliza en implementar soluciones de TI. El valor de negocio lo genera lo que hacen las organizaciones con TI y no la tecnologa en s. En COBIT, se establece un marco global para la gestin y entrega de servicios de alta calidad basados en la tecnologa de informacin. Se fijan mejores prcticas para los medios de contribuir al proceso de creacin de valor. En Val IT, ahora se aaden las mejores prcticas para el fin, proporcionando as los medios para medir, monitorizar y optimizar de forma inequvoca el rendimiento, tanto financiero como no financiero, de la inversin en TI.
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 100
101
102
Dominios de Val IT
103
Referencias y Lecturas
Val IT en espaol http://www.isaca.org/KnowledgeCenter/Val-IT-IT-Value-Delivery/Documents/VAL-IT-Framework-SP.pdf
104
Seccin 11
Risk IT
Risk IT
RISK IT establece las mejores prcticas con el fin de establecer un marco para las organizaciones para identificar, gobernar y administrar los riesgos asociados a su negocio. Proporciona beneficios tangibles de negocios, por ejemplo, un menor nmero de eventos inesperados y fracasos, el aumento de la calidad de la informacin, una mayor confianza de las partes interesadas, menos preocupaciones de carcter regulatorio y nuevas iniciativas para el negocio apoyadas por aplicaciones innovadoras
106
Fuente: ISACA
107
Riesgos de TI
Fuente: ISACA
108
Fuente: ISACA
109
Escenarios de Riesgos de TI
Fuente: ISACA
110
Escenarios de Riesgos de TI
Fuente: ISACA
111
Referencias y Lecturas
Risk IT en espaol http://www.isaca.org/KnowledgeCenter/Research/Documents/Risk-ITframework-spanish.pdf
112